回答率: 85.47%

質問するログイン新規登録

トップ Perlに関する質問 perlスクリプトの絶対パス

編集履歴

回答編集履歴

2

設定ファイルについて追記

2015/11/23 00:49

投稿

スコア12146

test CHANGED Viewed

@@ -52,6 +52,6 @@
 auditctl で設定したルールは auditd を再起動すると消えてしまいます。
-auditd 起動時に有効にするには /etc/audit/rules.d/audit.rules などに設定します。
+auditd 起動時に有効にするには /etc/audit/audit.rules に設定(または、/etc/audit/rules.d/audit.rules などに設定後、augenrules 実行)します。

1

audit を使う方法を追記

2015/11/23 00:49

投稿

スコア12146

test CHANGED Viewed

@@ -1,3 +1,57 @@
 `/proc/$PID/cmdline` でわかりませんでしょうか。
 `\0` 区切りです。
+###(2015/11/23 追記)
+Linux ならば audit を使って監査ログを取る方法が考えられます。
+```
+(CentOS 7 の場合の例)
+# systemctl start auditd            // auditd サービスを起動
+# auditctl -w /usr/bin/perl -p x    // /usr/bin/perl が実行されたら監査ログに記録
+# /root/test.pl &                   // perl スクリプト実行
+# ausearch -p (PID)
+    または
+# ausearch -x /usr/bin/perl
+time->Mon Nov 23 09:24:36 2015
+type=PATH msg=audit(1448238276.515:61): item=2 name=(null) inode=16879080 dev=fd:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 objtype=NORMAL
+type=PATH msg=audit(1448238276.515:61): item=1 name=(null) inode=9571154 dev=fd:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 objtype=NORMAL
+type=PATH msg=audit(1448238276.515:61): item=0 name="/root/test.pl" inode=18699758 dev=fd:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 objtype=NORMAL
+type=CWD msg=audit(1448238276.515:61):  cwd="/"
+type=EXECVE msg=audit(1448238276.515:61): argc=2 a0="/usr/bin/perl" a1="/root/test.pl"
+type=SYSCALL msg=audit(1448238276.515:61): arch=c000003e syscall=59 success=yes exit=0 a0=13d0880 a1=13c24e0 a2=13ab200 a3=7fff38785730 items=3 ppid=839 pid=1015 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=1 comm="test.pl" exe="/usr/bin/perl" key=(null)
+    // PATH や EXECVE の引数がわかる。
+```
+ただし、既に起動しているプロセスには使えません。
+auditctl で設定したルールは auditd を再起動すると消えてしまいます。
+auditd 起動時に有効にするには /etc/audit/rules.d/audit.rules などに設定します。